0
0
Um malware focado no roubo de informações bancárias e credenciais de mensageiros instantâneos como o Discord teria sido baixado mais de 30 mil vezes a partir do repositório oficial da linguagem de programação Python, o PyPI. A praga estava dividida em oito pacotes disponibilizados publicamente por criminosos para serem utilizados em soluções legítimas.
Seria a partir delas que as pragas conseguiriam acesso a computadores e servidores das vítimas, com o disfarce ajudando a ocultar as atividades de sistemas de segurança. De acordo com os especialistas da JFrog, responsáveis pela descoberta, esse tipo de vulnerabilidade poderia, facilmente, levar a ataques contra a cadeia de suprimentos, quando os malwares estão escondidos dentro de soluções legítimas e liberadas para funcionar, sem que dispositivos de proteção entendam suas ações como maliciosas.
Segundo os pesquisadores, o malware foi retirado do ar assim que a administração do repositório foi avisada. Ainda assim, não há como saber se ele já está sendo utilizado em projetos de desenvolvimento de software, que podem chegar em algum momento a sistemas legítimos. Daí o alerta, com a JFrog também liberando uma lista dos pacotes maliciosos para que deixem de ser utilizados pelos desenvolvedores.
Uma vez funcionando, o malware usa a ofuscação proporcionada pelos softwares legítimos para realizar a leitura de sistemas de salvamento de senhas em navegadores. De lá, são obtidas as credenciais de acesso a sistemas bancários e do mensageiro Discord, bastante usado pela comunidade gamer — o mesmo aplicativo também é utilizado pelo ataque para realizar o upload dos dados a servidores remotos, controlados pelos criminosos responsáveis.
Segundo os pesquisadores, os principais focos de ação da campanha eram as senhas armazenadas nos browsers Edge e Google Chrome. Por isso, aos desenvolvedores que eventualmente trabalham com Python e tais pacotes, a recomendação é para que avaliem as senhas cadastradas nos navegadores e realizem a troca imediata, bem como outras credenciais que tenham sido compartilhadas em outros serviços. Os cartões armazenados devem ser cancelados.
A JFrog também volta seus olhares para a moderação do PyPI, indicando que esta não é nem de longe a primeira vez que pacotes maliciosos são publicados no repositório oficial da linguagem de programação. A ideia de estar baixando soluções de um marketplace oficial traz uma aparência de legitimidade, com os especialistas afirmando que os responsáveis precisam tomar mais cuidado com a aprovação daquilo que é publicado ali.
Em junho, por exemplo, mineradores de criptomoedas foram localizados entre as soluções disponíveis no marketplace, enquanto maio foi o mês da detecção de dezenas de soluções relacionadas à distribuição de spam. De acordo com os especialistas, pelo menos metade das aplicações que estão disponibilizadas na biblioteca oficial do Python pode conter problemas de segurança, de moderados a graves.
Segundo os pesquisadores, os softwares que foram criados a partir dos pacotes maliciosos poderão passar por checagens de segurança simples, mas soluções de proteção mais avançadas bloquearão seu uso ou indicarão a administradores que pode existir algum problema com o software. Os especialistas pedem que os responsáveis não ignorem tais avisos e prestem atenção nos códigos que estão em funcionamento.
FONTE: CANALTECH